03.12.21
Rat beschließt Position zur EU-Cybersicherheits-Richtlinie
Der Vorschlag der Kommission sieht insbesondere eine Ausweitung des Anwendungsbereichs auf viele als „wesentlich“ oder „wichtig“ eingestufte Unternehmen vor, die mehr als 50 Beschäftigte haben oder einem Jahresumsatz bzw. eine Jahresbilanz von mindestens 10 Mio. €. Als „wesentliche" und „wichtige“ Einrichtungen gelten dabei etwa Strom- und Wasserversorger, Ölproduzenten, Banken, Hersteller von Medizinprodukten, Lebensmittelproduzenten oder Betreiber von Online-Marktplätzen.
Unabhängig von ihrer Größe sollte die Richtlinie auch für zahlreiche öffentliche Verwaltungen gelten. Dem will der Rat nun einen Riegel vorschieben. So soll der Geltungsbereich auf Verwaltungen der Zentralregierungen beschränkt werden. Die Mitgliedstaaten sollen selbst darüber entscheiden, ob sie ihn auch auf Verwaltungen auf regionaler oder lokaler Ebene ausdehnen wollen. Explizit ausnehmen will der Rat ferner Einrichtungen, die in den Bereichen Verteidigung, nationale Sicherheit, öffentliche Sicherheit oder Strafverfolgung tätig sind, sowie insbesondere die Justiz, Parlamente sowie Zentralbanken.
Auch an anderer Stelle bremst der Rat. So will er der Einführung verbindlicher Peer-Reviews nicht zustimmen. Die Kommission hatte hier vorgesehen, dass die Mitgliedstaaten regelmäßig die Wirksamkeit der Cybersicherheitskonzepte der anderen Mitgliedstaaten überprüfen sollten, um ein hohes und möglichst einheitliches Sicherheitsniveau in der EU sicherstellen zu können. Der Rat setzt sich nun dafür ein, dass der Peer-Review-Prozess auf Freiwilligkeit beruhen soll und nicht, wie vorgesehen, von der Kommission, sondern von den Mitgliedstaaten gesteuert wird.
Eine weitere zentrale Änderung nimmt der Rat bei den Meldepflichten vor. Der Kommissionsvorschlag sah hier noch vor, dass alle wesentlichen und wichtigen Unternehmen den zuständigen nationalen Behörden oder nationalen Reaktionsteams für IT-Sicherheitsvorfälle neben Cybervorfällen auch „Cyberbedrohungen“, die potenziell zu einem signifikanten Cybervorfall hätten führen können, melden müssen. Auch das geht dem Rat zu weit. Er plädiert dafür die Meldepflicht für „Cyberbedrohungen“ ganz zu streichen.
Mehr Informationen zur Position des Rates zur NIS II-Richtlinie finden sie hier und hier.
Philipp Eckhardt, cep-Digitalexperte